22T46 7 Kroków Utworzenia Mikro Data Center [konfiguracja MikroTik] cz.2

Wireguard Star Topology

Więcej miejsc do posłuchania:

Spotify

0:00 Wprowadzenie

0:36 Co dziś będzie robione?

2:32 Konfiguracja

27:09 Podsumowanie

Transkrypcja

Cześć. Dzisiaj druga część odcinka dotyczącego mini czy mikro Data Center. Dzisiaj będę konfigurował tunele Wireguardowe pomiędzy dwoma lokalizacjami a centralnym Data Center czyli dwoma routerami, które zapewniają mi wysoką dostępność tego ośrodka. Będę konfigurował dwa tunele z każdej lokalizacji do każdego routera w Data Center i z drugiej lokalizacji również dwa tunele. Czyli w sumie taka topologia gwiazdy.

To zacznijmy od tego co będę dzisiaj robił. Narysowałem tutaj nowe tunele, które będę konfigurował czyli pomiędzy Mikrotikiem1 w DC, Mikrotikiem1 w Campusie, podobnie Mikrotik2 DC DMZ i Mikrotik2 Campus. Oprócz tego będzie to topologia gwiazdy więc będzie też połączenie pomiędzy Mikrotikiem1 DC a Mikrotikiem2 Campus. Czyli tak jak tutaj widzisz te linie zielone i między Mikrotikiem1 w Campusie a Mikrotikiem2 w DMZ. Czyli takie tunele tutaj będę tworzył.

Jeżeli chodzi o wersję konfiguracji to ponieważ ja chcę tutaj uruchomić OSPFa, to wygeneruje osobne interfejsy i to będą nazwy tych interfejsów dla poszczególnych tuneli Wireguarda. Czyli mam tutaj kolejne interfejsy zaplanowane które będę teraz tworzył dla poszczególnych połączeń ten Interfejs i ten tunel, docelowo ten tutaj niżej ten usunę bo on będzie mi w nowej topologii zupełnie niepotrzebny.

A to z tego powodu, że skoro buduje Data Center, które będzie spinało różne lokalizacje No to nie potrzebuje tu bezpośrednio pomiędzy lokalizacjami tego tunelu ale to jest krok kolejny, na razie się skupię na konfiguracji tych tuneli 4 i odpowiednio interfejsów, które będę na mikrotiku1 DC DMZ tworzył, Mikrotiku2 DC DMZ i Mikrotik1 Campus, Mikrotik2 Campus.

No to zaczynam konfigurację. Jak widzisz stworzyłem teraz na Mikrotiku1 DC1 DMZ odpowiedni interfejsy dwa pod Wireguarda i na Mikrotiku2 DC DMZ też dwa interfejsy pod Wiregurda, odpowiednio dla każdego z tych tuneli. Teraz kontynuuję i będę tworzył odpowiednie interfejsy tutaj na Mikrotiku2 i Mikrotiku1 w Campusie. Mam więc już teraz na Mikrotiku2 Campus dwa interfejsy z Mikrotika2 Campus do Mikrotika1 DC i drugi interfejs Mikrotika2 Campus do Mikrotika2 DC i podobnie będzie na Mikrotiku1.

Czyli mamy z Mikrotika1 campus do Mikrotika1 DC i podobnie z pierwszego campus do Mikrotika2 DC, czyli tutaj wszystko się zgadza. Warto to sprawdzić, bo będzie łatwiej w kolejnym kroku. To jak interfejsy mamy potworzone, to teraz adresacja IP. Jeżeli chodzi o adresację to przygotowałem tutaj już plan adresacji z maską 30 bitów dla każdego interfejsu odpowiedni adres czyli sieć 10.255.255 i z końcówką 5, 6 z końcówką 13, 14 z końcówką 17, 18 i z końcówką 9 i 10. Teraz muszę tylko te interfejsy potworzyć i będziemy mogli kontynuować.

Tutaj widzę, że gdzieś popełniłem błąd bo mam Mikrotik2, Mikrotik2 i Mikrotik2 w DC a potrzebuje mieć jeden z tych wpisów dotyczący Mikrotika1. Tak jak jest tutaj po lewej stronie Mikrotik1 DC DMZ i tutaj powinien mieć któryś wpis z tych tuneli krzyżujących się. Zaraz sprawdzę, który tutaj powinien być. Tak, tu ewidentnie w tym miejscu powinien być Mikrotik1 czyli z Mikrotika2 Campus do Mikrotika1 DC DMZ, OK i ten właśnie adres powinien tutaj jeszcze dodatkowo dodać do Mikrotika1 DC DMZ.

No i tu ciekawostka interfejs IP jest nieaktywny, no i teraz muszę się dowiedzieć dlaczego. A jakbym zmienił teraz inny adres sieci bo tu będzie adres sieci 16. To jestem ciekaw czy się coś polepszy. No spróbujmy na przykład 17. Tutaj… nie, to nic nie zmienia. Jeden interfejs jest działający a drugi interfejs jest nie działający. No dobra a jakbym zlał z innej sieci testowo na przykład 13. Ok, tu coś z tym interfejsem jest nie tak.

Czyli nie adres jest problemem bo jak przypiszę inny interfejs… to działa. Jak jest ten sam interfejs Wireguarda to adres jest akceptowany, no dobra to wróćmy do tego Wireguarda. Dobra, to stworzę jeszcze raz ten interfejs i zobaczę czy adres narazie się zostawi tylko przypnę go do interfejsu WG-MT1 i stworze Wireguarda jeszcze raz tego drugiego. A… już podejrzewam co jest nie tak.

Już wiem co tutaj nie działa mianowicie nie mogą być dwa interfejsy na tym samym porcie nasłuchującym. I dlatego nie działa. To nie muszę go kasować, Wystarczy, że zmienię tutaj port i teraz zobaczmy adres IP i teraz wszystko działa. To jest też rzecz o której trzeba pamiętać. Nie może być więcej niż jeden interfejs na tym samym porcie. W związku z tym trzeba zmieniać porty na których nasłuchuje dana usługa.

Jeżeli uruchamiasz OSPFa, to lepiej jest zrobić na osobnych interfejsach zamiast na peer’ach. A to dlatego, że jeżeli masz peer i tutaj przykład z campusu czyli weźmy sobie jakiś peer. Jeżeli masz na jednym interfejsie Wireguardowym różne sieci, to wtedy musisz się posługiwać tymi tutaj Allowed Addresses i dzięki temu jest w stanie router powiedzieć do którego tunelu pakiet przesłać w zależności od tego jakie sieci są dostępne po drugiej stronie.

No ale ja nie chcę używać tego statycznego mechanizmu kierowania pakietów do poszczególnych tuneli dlatego, że ja chcę wykorzystać OSPFa i wykorzystać dynamiczne kierowanie ścieżkami, Jeżeli przełączę interfejs, wyłącze interfejs będzie awaria. No to żebym mógł ten OSPF przełączyć odpowiednią ścieżkę, jeżeli będę tu statecznie wpisywał adresację to to nie zadziała, ten mój koncept używania OSPFa dlatego tworzę osobne interfejsy Wireguardowe na potrzeby każdego tunelu.

Dobra, dwa tunele mam, to wróćmy teraz do tego co tu miałem konfigurować czyli na Mikrotiku1 są dwa interfejsy – końcówka 18 i końcówka 6, Potwierdzę, końcówka 18 i końcówka 6. To się zgadza. Teraz kolejny MT2 DC2 DC DMZ. Czyli tutaj końcówka Mikrotika2 DMZ. Czyli końcówka 10 i końcówka 14. Tutaj znalazłem powtórnie błąd. Czyli teraz gdy konfigurował interfejs MT1 campus i mam jeden wpis i potrzebuję mieć drugi tunel i tutaj też widać, że MT1 campus powinien być.

Myślę, że tu przyjmę dla ułatwienia sobie numery portów, takie jak mam końcówki adresacji IP. Czyli jeżeli tutaj mam dla tunelu WG-MT1-Campus-MT1-DC-DMZ piątkę, to końcówkę przyjmę piątkę. Dzięki temu łatwiej będę mógł się zorientować jaki mam numer portu czy końcówkę numeru portu bo to oczywiście zmienia tylko końcówkę czyli 5 i 17. 5 będzie dla MT1 DC DMZ i 17 dla MT2 DMZ. Czyli 5 i 17 i tak samo teraz po prawej na poprzednich konfigurowanych, tak żebym miał spójność, czyli do jedynki 14 i do dwójki 10.

No i tutaj jeszcze zobaczmy do jedynki. Do jedynki MT1 campus do jedynki to jest 6 i do dwójki 18. To adresy IP dla trzech mam zrobione, teraz jeszcze dla MT2 Campus. Czyli adresy IP dla tych tutaj dwóch interfejsów dla stworzenia tych tuneli, czyli tu będzie z MT2 DMZ… Nie, z MT2 Campus. Dobrze… czyli tu będzie 10… 9 czyli 9 do dwójki. Jestem teraz na campusie i do MT2 DC DMZ będzie 9 i tutaj końcówka 13. Tu będzie do MT1 DC DMZ. Dobra, teraz jeszcze numery portów pozmieniam. Czyli jestem na MT2 Campus do MT2 DC jest 9 i do 1 DC13.

Dobra, to adresacje mamy nadaną, interfejsy mamy potworzone. To teraz przypisuję te klucze publiczne i tworzę peery. Zacznę od może MT1 DC DMZ. Czyli teraz jeżeli chodzi o peery to będę wpisywał peer MT1 Campus i peer MT2 Campus na MT1 DC DMZ. Tu mi się coś nie zgadza ten port, który tutaj mam, na którym będzie działał Wireguard z adresem IP. Bo końcówkę miałem zrobić taką samą jak tutaj i teraz jak kopiuję, czyli to jest między Campusem2 a 1, czyli tutaj mam końcówkę 13 a adresacje mam między Campusem 2.

Czy mam adres 13, czyli adresu tylko portu, numeru portu nie zmieniłem. To jeszcze raz – między Campusem2 czyli tu powinno być 17. No dobra czyli wygląda na to, że mamy tak: z końcówkami portów, z adresami IP i jeszcze tutaj musimy Preshared Keys też dopiąć. Tak jak tutaj. Zobaczmy… Nie, tego nie potrzebowaliśmy. Czyli tylko publiczne klucze. Tutaj dla każdego site adres IP i zezwolenie na sieci plus numer portu. Nic tu więcej nie ma. Czyli tak Mikrotika1 mamy zrobionego – DC DMZ Mikrotik1.

No i to samo teraz będę powtarzał dla Mikrotika2 DC DMZ. Tu wpisując teraz zauważyłem, że kolejną mam nieścisłość, czyli tu muszę sprawdzić, mam dwa mikrotiki1 Campus i DC. A to nie jest prawda, tu jedno ma być 2 a tutaj ma być 2 i 1. Tak myślę, że będzie – tu jest 1 a tutaj 1 do 1, 2 to 2 i tu musi być na przemian i teraz się wydaje dobrze. Ale to będziemy jeszcze sobie sprawdzać jak nie będzie działać to będę tutaj aktualizował, czyli wracam do konfiguracji peerów na MT2, klucz publiczny i adres IP. Czyli jestem tutaj i konfiguruję adres. To zacznę może od adresu 1 Campusa i interfejs pomiędzy campusem MT1 a MT2 DC DMZ, czyli ten i teraz MT2 do MT…

Podsumowując mam teraz już na wszystkich czterech Mikrotikach, które teraz skonfiguruję adresację IP, które mam przypisaną tutaj w poszczególnych częściach, dotyczących konkretnych tuneli. Mam pokonfigurowane interfejsy Wireguarda na każdym z tych Mikrotików po dwa interfejsy. No i mam przypisane klucze publiczne tak, żeby wzajemnie te tunele mogły się zestawiać. No to jak mamy pokonfigurowane to teraz warto sprawdzić czy nam działa. Ja najpierw sprawdziłem, że mój tunel pomiędzy MT1 Campus a MT1 DC DMZ nie działał, a nie działa z prostego powodu. Źle wpisałem adresy IP peerów więc teraz pokażę jak powinno wyglądać ten end point IP.

Jestem teraz na Mikrotiku1 DC DMZ w peerach i powinienem mieć tu end pointy wpisane następująco: czyli adres publiczny, jeżeli to jest kierunek od MT1 DC DMZ do MT1 Campus, to tutaj powinien być adres publiczny MT1 Campus. W moim przypadku 10.253.253 końcówka 103. Jeżeli chodzi o drugi tunel czy drugiego sąsiada tunelu. Czyli od MT1 DMZ do MT2 Campus to końcówka 106 I tutaj widać po prawej stronie że te tunele działają.

Teraz pokażę, jak dla innych routerów to skonfigurowałem poprzednio i jak należy tą konfigurację poprawić. Czyli teraz mogę przejść do MT2. Zobaczmy jaką mamy tutaj… MT2 DC DMZ. I jakie mamy end pointy, to nie są właściwe adresy IP. To są adresy IP wewnętrzne tunerów już zestawionych i widać, że nie mam żadnych pakietów, które by przychodziły. Mam tylko próbę wysyłania pakietów. Czyli to trzeba poprawić. No to już zmieniam adres IP na odpowiednie i za chwilę będziemy sprawdzać czy nam Pakiety przechodzą. Czyli tak, jeżeli odnosimy się z MT2 DC DMZ do MT1 Campus to tutaj adres IP powinien być z końcówką 103 w sieci 10.253

Jeszcze zobaczę czy publiczny klucz jest właściwy i teraz między MT1 Campus a MT2 DC DMZ i ten klucz publiczny powinienem skopiować. Klucz widzę, że był dobry. Jeżeli będzie działało, to tutaj ten Rx będzie już też pojawiał się jako cyfra i Last Handshake będzie się tutaj też zmieniało. Czyli widzimy, że na razie nadal nam ten tunel się jeszcze nie zestawia. 217 O i widzimy, że już zaczęły się pakiety pojawiać.

Czyli widzimy Rx i Tx jest, czyli te ustawienia są prawidłowe. Możemy też teraz spróbować zapingować wewnętrzne adresy. No to zobaczmy, jeżeli chodzi o 2 z 1 czyli 1 Campus 2 DC DMZ to 2 DC DMZ czyli powinno być – między końcówkami 13 a 14 – powinna być możliwość pingowania. No to zobaczmy. 13 nie działa, 14 działa. Czy jeszcze teraz sprawdźmy 14 – to jest lokalny interfejs tutaj na tym MT2 DC a 13 to jest interfejs MT1 Campus.

To co jeszcze musimy sprawdzić to routing bo tu wygląda na to, że tunel już działa ale jeszcze prawdopodobnie routing nie funkcjonuje właściwie. Jak również adresacja IP do MT1 Campus. To jest ta adresacja czyli mam tu 14 i tak próbowałem sprawdzić czy działa więc 14 adres IP jest OK i teraz zobaczmy jeszcze trasę tu jest trasa wpisana wg MT2 DC DMZ i zobaczmy na Mikrotiku1 peer czy nam działa. Jesteśmy na Mikrotiku1 Campusie a chcemy się dostać do Mikrotika2 DC DMZ.

Tu jeszcze musimy się poprawić. Bo tu jest 115. numer portu końcówka 14, tu jest dobrze i tu widać, że port również działa. Zobaczmy czy mamy trasy. Odświeżę jeszcze interfejs.Teraz zobaczmy czy mamy trasę. Tutaj wygląda, że nie ma właściwej trasy. Czyli teraz zobaczmy bo 16/30, 17, 18. Adresacja powinna być Ta, która nas interesuje 13,14. Czyli adres sieci .12 Nie mamy takiego wpisu w tablicy routingu a od strony MT2 DC, mamy. Tutaj mamy 10.255.255.12/30 i to jest interfejs tunelowy. No dobra to trzeba ten wpis dodać.

Skoro nam się nie pojawił to trzeba zobaczyć czy mamy taki adres, to jeszcze raz sprawdzę a jeżeli nie to i tak ręcznie dodam i zobaczymy czy nam się tutaj pojawi. Czyli tu jest jeszcze coś z adresami nie w porządku. Jestem teraz na Mikrotiku1 Campusie i mam adresację 5.17 a według tego powinien mieć 13.

To jest mój błąd konfiguracyjny więc powinienem przypisać adres 13 na MT1 Campus. Teraz powinienem mieć tu wpis w tablicy routingu. No to zobaczmy czy teraz nam zadziała. No i teraz nam tunel działa. Czyli widać, że trzeba sprawdzić po kolei każdy z tuneli, potwierdzić że ping przechodzi, sprawdzić wszystkie z tych parametrów czyli czy jest publiczny klucz właściwy czy numer portu czy adresy się zgadzają.

Teraz po kolei będę sprawdzał wszystkie z tych elementów aż potwierdzę że wszystkie tunele działają właściwie. To co mam potwierdzone teraz to, że jest komunikacja w tym tunelu i w tym tunelu. Teraz jeszcze sprawdzę komunikację między MT2 Campus i MT2DC i pomiędzy MT2 Campus a MT1DC.

No to na koniec sprawdzamy jak już poprawiłem co było źle skonfigurowane. Czyli teraz jestem na MT1 DC DMZ i pinguje adresy 5,6,17,18. Czyli widać, że MT1 oba tunele działają teraz to samo z MT2. Czyli teraz będę sprawdzał adresy 13, 14 i 9, 10. Dobrze czyli wszystkie tunele działają. Sprawdziłem z tej strony odpowiada… odpowiadają te adresy, z tej strony te adresy. Tu i tu. Czyli komunikację i spięte wszystkie tunele, które dzisiaj zakładałem, że skonfiguruję mamy zrobione czyli potwierdziłem, że działa ping przez wszystkie nowo stworzone tunele.

Na dzisiaj to tyle, dziękuję Ci za uwagę. Jeżeli masz jakieś pytania co do tej konfiguracji to oczywiście pisz w komentarzu i do usłyszenia, do zobaczenia już za tydzień.


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.